Iedere werknemer heeft op het werk – tot op zekere hoogte – een recht op privacy. Het recht op privacy is vastgelegd in verschillende wetten, waaronder de Nederlandse Grondwet en het Europees Verdrag voor de rechten van de Mens.[1]

Een groot deel van het recht op privacy – namelijk het recht op bescherming van persoonsgegevens – is uitgewerkt in de Algemene Verordening Gegevensbescherming (AVG) en aanverwante wetgeving, zoals de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Uit deze regelgeving volgt dat een werkgever zorgvuldig moet handelen bij het verwerken van persoonsgegevens over het personeel. In eerdere blogs besprak ik bijvoorbeeld de voorwaarden waaraan voldaan moet zijn voor rechtmatige controle op e-mail- en internetgebruik van werknemers, voor het verwerken van gezondheidsgegevens over het personeel, voor de inzet van cameratoezicht op het werk, en het afnemen van alcohol- of drugstesten op het werk.

De realiteit is echter dat niet altijd aan al deze voorwaarden wordt voldaan. In de rechtspraak worden met enige regelmaat privacyschendingen op het werk geconstateerd. Neem bijvoorbeeld de uitspraak van de rechtbank Amsterdam vorig jaar (14 juli 2020, over het zonder gegronde redenen doorzoeken van e-mails van de werknemer) of deze uitspraak van de rechtbank Zeeland-West Brabant (over het onterecht gebruik van een USB-stick van de werknemer, met daarop allerlei privégegevens, teneinde een ontslag te onderbouwen). Dagblad Trouw berichtte enige tijd geleden dat honderden Nederlandse bedrijven de privacywet zouden overtreden door hun medewerkers zonder gegronde redenen te testen op drugsgebruik.

De vraag is wat een werknemer vervolgens kan doen. Kan een werknemer, wiens privacy geschonden is, bijvoorbeeld betaling van een schadevergoeding claimen van zijn werkgever?

Laten wij eens kijken naar wat de wet hierover zegt. De AVG schrijft voor dat ‘[e]enieder die materiele of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, […] het recht [heeft] om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de gelden schade.’.[2] Een werknemer kan dus vergoeding eisen van de schade die hij heeft geleden als gevolg van een door zijn werkgever begane privacyschending (of, strikt genomen, een door de werkgever begane inbreuk op de AVG). In de context van de arbeidsrelatie is de werkgever overigens de ‘verwerkingsverantwoordelijke’.

In de praktijk blijkt materiële schade als gevolg een schending van de privacy vaak echter lastig aantoonbaar. Een ongeoorloofde schending van de privacy van een werknemer leidt doorgaans niet direct tot financiële schade voor de werknemer in kwestie. Een werknemer kan door een schending van zijn privacy blootgesteld worden aan risico’s die zich niet per se direct hoeven te manifesteren (denk bijvoorbeeld aan het verloren gaan van een dossier met allerlei gezondheidsgegevens), maar de daadwerkelijke schade wordt feitelijk pas geleden op het moment dat iemand gebruik maakt van de gelekte persoonsgegevens om bijvoorbeeld identiteitsfraude te plegen. Verder leiden schendingen van de privacy tot een beperking van de vrijheid van een werknemer om zichzelf te kunnen zijn op het werk (denk bijvoorbeeld aan de inzet van verborgen camera’s op het werk, of aan het verplicht laten afnemen van een drugstest waarmee in sommige gevallen ook gegevens worden verwerkt over iemands drugsgebruik in privétijd). Verder kan een vergaande schending van de privacy van een werknemer leiden tot angst of stress bij de werknemer. Zie deze uitspraak van de rechtbank Amsterdam uit 2019 voor een omschrijving van de gevolgen die een schending van de privacy zoal kan hebben. Maar zowel deze stress als de ervaren vrijheidsbeperking zijn vaak lastig uit te drukken in termen van concrete, materiële schade.

Voor al deze gevolgen geldt dat deze hoofdzakelijk van immateriële aard zijn. Nu schrijft de AVG weliswaar voor dat een werknemer ook vergoeding van geleden immateriële schade kan vorderen, maar de vraag is hoe deze schade dan begroot moet worden.

Hoe moet de angst, stress en potentiële risico’s die een werknemer ervaart als gevolg van een vergaande schending van de privacy, worden uitgedrukt in euro’s?

Uit de rechtspraak blijkt dat rechters over het algemeen terughoudend zijn in het toekennen van immateriële schadevergoedingen.

Neem bijvoorbeeld de (hiervoor al aangehaalde) uitspraak van de rechtbank Amsterdam uit 2019. Deze zaak ging over een werknemer die langdurig arbeidsongeschikt was geworden als gevolg van een burn-out. Na verloop van tijd trad deze werknemer in dienst bij een andere werkgever. Het UWV, waar de werknemer nog als ziek stond geregistreerd, deelde de nieuwe werkgever per ongeluk per brief mede dat de werknemer langer dan anderhalf jaar ziek zou zijn en binnenkort een WIA-uitkering zou kunnen aanvragen. De nieuwe werkgever wist echter niets over het ziekteverleden van de werknemer. De werknemer claimde vervolgens een schadevergoeding van EUR 500 vanwege de schending van haar privacy.

De rechtbank oordeelde dat het UWV onrechtmatig en in strijd met de AVG had gehandeld, en dat de werknemer recht had op een (naar billijkheid vast te stellen) vergoeding van haar immateriële schade.[3] De rechter stelde de schadevergoeding vervolgens vast op een bedrag van EUR 250 ‘[n]u het verlies van controle over haar persoonsgegevens betreffende de langdurige ziekte blijvend is, dit anderzijds uitsluitend (medewerkers van) [werkgever 2] betreft en dit geen gevolgen heeft gehad voor haar economische of maatschappelijke positie, terwijl de als gevolg van de inbreuk opgetreden angst en stress in tijd beperkt is geweest […].’.[4]

Van belang zijn ook de uitspraken die de Raad van State op 1 april 2020 heeft gedaan over het recht op vergoeding van immateriële schade bij een schending van de privacy.[5] Eén van deze zaken betrof een persoon die op grond van de (toenmalige) Wet bescherming persoonsgegevens een verzoek tot inzage van zijn persoonsgegevens had ingediend bij een gemeente. Nadat de gemeente naar aanleiding hiervan een overzicht had verstrekt, stelde de persoon dat het overzicht niet compleet was. Een ambtenaar van de gemeente zou in het verleden namelijk een e-mail hebben gestuurd aan een andere gemeente naar aanleiding van door de persoon in kwestie gedane Wob-verzoeken (Wet openbaarheid van bestuur), en daarvan was geen melding gemaakt. De persoon stelde dat sprake was van een schending van zijn privacy en eiste een schadevergoeding van EUR 500. In eerste instantie kreeg hij gelijk bij de rechter, maar in hoger beroep – bij de Raad van State – werd hij toch in het ongelijk gesteld. De Raad van State oordeelde dat de schending niet zodanig was dat een immateriële schadevergoeding op zijn plaats was (‘Het gaat niet om ernstig verwijtbaar gedrag met zo ernstige gevolgen, dat dit als een inbreuk op een fundamenteel recht moet worden gekwalificeerd’).[6] Niet voor iedere schending van de privacy hoeft dus direct een schadevergoeding te worden betaald.

Bij het lezen van de hiervoor genoemde voorbeelden kan de indruk ontstaan dat het door een werknemer claimen van een schadevergoeding wegens privacyschending een weinig kansrijke exercitie is. Er zullen weinig werknemers zijn die voor een paar honderd euro een juridische procedure zullen willen starten.

Toch is hier wel enige nuance op zijn plaats. De hiervoor genoemde voorbeelden betroffen namelijk geen arbeidsgeschillen, althans geen geschillen tussen werkgever en werknemer. En dit kan een belangrijk verschil zijn. Een arbeidsrelatie kenmerkt zich door hiërarchie en ongelijkheid. Een werknemer staat doorgaans in een afhankelijke relatie tot zijn werkgever. Om die reden heeft een werknemer recht op ontslagbescherming en bijvoorbeeld doorbetaling van loon tijdens ziekte (en kan van deze wettelijke regels niet, of alleen in beperkte mate, contractueel worden afgeweken).

Gelet hierop zou gesteld kunnen worden dat een schending van de privacy begaan door een werkgever jegens zijn werknemer, ernstiger is dan bijvoorbeeld een privacyschending die begaan is tussen partijen die niet in een afhankelijkheidsrelatie tot elkaar staan.[7] Daarbij komt dat een door een werkgever begane schending van de privacy vergaande gevolgen kan hebben voor een werknemer. Bijvoorbeeld wanneer een werkgever willens en wetens de mailbox van een werknemer doorneemt teneinde bewijs te verkrijgen voor een ontslag van de werknemer. Als de enige sanctie daarop zou zijn dat een werkgever een schadevergoeding van 500 euro moet betalen aan de werknemer, dan zouden sommige werkgevers dit wellicht voor lief nemen.

Dat zorgvuldigheid geboden is bij het omgaan met het recht op privacy van werknemers, en dat werknemers bij vergaande schending daarvan aanspraak kunnen maken op een (substantiële) schadevergoeding, blijkt uit een uitspraak van de rechtbank Amsterdam van 14 juli 2020.

In deze zaak stuurde de werkgever, een dienstverlener met betrekking tot tankinstallaties en tankstations, aan op ontslag van een leidinggevende werknemer. De aanleiding voor het ontslag was gelegen in een vergadering die de werkgever had belegd met ondergeschikte werknemers van de leidinggevende (nadat de leidinggevende melding had gemaakt van een conflict met zijn ondergeschikten). Direct aansluitend op deze vergadering had de werkgever opdracht gegeven aan een andere werknemer om de mailbox van de leidinggevende te onderzoeken. Dit was niet van te voren aangekondigd, en de leidinggevende was dus ook niet gevraagd om toestemming.

Vervolgens werd de leidinggevende ontslag aangezegd. Daaraan werden verschillende redenen ten grondslag gelegd, zoals dat de leidinggevende niet goed zou functioneren, dat hij achtergebleven diesel zou hebben verkocht aan derde partijen en de opbrengst in eigen zak zou hebben gestoken (in de procedure aangeduid als ‘Dieselgate’), dat hij zich racistisch zou uiten jegens anderen, en een relatie zou hebben gehad met een ondergeschikte werknemer (en dit verzwegen zou hebben). De werkgever verwees daartoe naar de e-mails die waren verkregen met het doorzoeken van de mailbox van de leidinggevende.

De rechtbank oordeelde dat verreweg het grootste deel van de verwijten aan de leidinggevende ongegrond waren en dus geen ontslag rechtvaardigden. Omdat de onderlinge relatie echter compleet was verstoord, besloot de rechtbank de arbeidsovereenkomst uiteindelijk toch te ontbinden. Maar dit werd wel aan de werkgever toegerekend die volgens de rechter ernstig verwijtbaar had gehandeld. De rechter hechtte daarbij groot belang aan het feit dat de werkgever onaangekondigd, en zonder concrete verdenking, de mailbox van de leidinggevende had laten doorzoeken door een collega. De rechter achtte dit een ‘grove privacy schending’ en veroordeelde de werkgever tot betaling van een (extra) vergoeding van EUR 10.000 (bruto) aan de werknemer.[8] In totaal moest de werkgever een vergoeding betalen aan de werknemer gelijk aan ongeveer 10 bruto maandsalarissen (voor een dienstverband van ongeveer 10 jaar).

Nu zal de (vrees voor een) mogelijke schadevergoeding vanzelfsprekend niet de enige reden zijn voor werkgevers om zorgvuldig om te willen gaan met het recht op privacy van het personeel. Een werkgever heeft immers ook zijn eigen reputatie om rekening mee te houden. Goede informatiebeveiliging is in het belang van zowel het personeel als van de klanten van de werkgever en andere zakelijke relaties. In december vorig jaar werd een gemeente gehackt, waarvan vervolgens EUR 750.000 aan losgeld werd geëist in ruil voor het vrijgeven van 40.000 gigabyte aan gemeentelijke informatie, waaronder persoonsgegevens (de hack was mede het gevolg van het feit dat gebruik was gemaakt van het eenvoudig te raden wachtwoord ‘Welkom2020’). Daarbij komt dat de Autoriteit Persoonsgegevens maatregelen kan treffen – waaronder het treffen van forse boetes – bij geconstateerde schendingen van de AVG. Vorig jaar ontving een werkgever die onrechtmatig vingerafdrukken van het personeel verwerkte een boete van maar liefst EUR 725.000.

Het bovenstaande laat zien dat een werknemer op grond van de AVG in principe een schadevergoeding mag claimen bij een geconstateerde schending van de privacy. Die schade zal vrijwel altijd van immateriële aard zijn. De praktijk laat echter zien dat niet iedere privacyschending daadwerkelijk een recht oplevert om een schadevergoeding te claimen. Er zal sprake moeten zijn van een ernstige schending van de privacy van een werknemer, wil een werknemer met succes aanspraak maken op een schadevergoeding. Over de hoogte van de schadevergoeding waar een werknemer aanspraak op kan maken, kan verschillend worden gedacht. Kijkend naar de rechtspraak over (de hoogte van) immateriële schadevergoedingen wegens privacyschendingen, lijken dit soort schadevergoedingen niet erg hoog uit te vallen. Maar de afhankelijkheidsrelatie tussen werkgever en werknemer zou mogelijk een hogere schadevergoeding kunnen rechtvaardigen als blijkt dat de werkgever in ernstige mate de privacy van een werknemer heeft geschonden. Daarbij komt dat rechters in ontslagkwesties vaak een ruimere bevoegdheid hebben om een (schade)vergoeding naar billijkheid toe te kennen (denk aan de billijke vergoeding wegens ernstig verwijtbaar handelen of nalaten van de werkgever). Het is dan ook belangrijk hierover vooraf juridisch advies in te winnen.